Zum Hauptinhalt springen

7. How PEs Learn Routes from CEs (Wie PEs Routen von CEs lernen)

7. How PEs Learn Routes from CEs (Wie PEs Routen von CEs lernen)

Der PE-Router, der an ein bestimmtes VPN angeschlossen ist, muss für jede Anschlussleitung, die zu diesem VPN führt, wissen, welche Adressen über diese Anschlussleitung erreichbar sind.

Der PE übersetzt diese Adressen unter Verwendung eines konfigurierten RD in VPN-IPv4-Adressen. Der PE behandelt diese VPN-IPv4-Routen dann als Eingabe für BGP. Routen von einem VPN-Standort werden NICHT (NOT) in das IGP des Backbones geleakt.

Welche genaue PE/CE-Routenverteilungstechnik möglich ist, hängt davon ab, ob sich ein bestimmter CE in einem "Transit-VPN" befindet. Ein "Transit-VPN" ist ein VPN, das einen Router enthält, der Routen von einem "Dritten" (d. h. einem Router, der nicht im VPN ist, aber kein PE-Router ist) empfängt und diese Routen an einen PE-Router weiterverteilt. Ein VPN, das kein Transit-VPN ist, ist ein "Stub-VPN". Es ist zu erwarten, dass die überwiegende Mehrheit der VPNs, einschließlich praktisch aller Unternehmensnetzwerke, in diesem Sinne "Stubs" sein werden.

Die möglichen PE/CE-Verteilungstechniken sind:

  1. Statisches Routing (d. h. Konfiguration) kann verwendet werden. (Dies ist wahrscheinlich nur in Stub-VPNs nützlich.)

  2. PE- und CE-Router können Routing Information Protocol (RIP) [RIP]-Peers sein, und der CE kann RIP verwenden, um dem PE-Router den Satz von Adresspräfixen mitzuteilen, die am Standort des CE-Routers erreichbar sind. Wenn RIP im CE konfiguriert ist, muss darauf geachtet werden, dass Adresspräfixe von anderen Standorten (d. h. Adresspräfixe, die der CE-Router vom PE-Router gelernt hat) niemals an den PE angekündigt werden. Genauer gesagt: Wenn ein PE-Router, sagen wir PE1, eine VPN-IPv4-Route R1 empfängt und als Ergebnis eine IPv4-Route R2 an einen CE verteilt, dann darf R2 nicht vom Standort dieses CE an einen PE-Router, sagen wir PE2 (wobei PE1 und PE2 derselbe Router oder verschiedene Router sein können), zurückverteilt werden, es sei denn, PE2 bildet R2 auf eine VPN-IPv4-Route ab, die sich von R1 unterscheidet (d. h. einen anderen RD enthält).

  3. PE- und CE-Router können OSPF-Peers sein. Ein PE-Router, der ein OSPF-Peer eines CE-Routers ist, erscheint dem CE-Router als ein Router der Area 0. Wenn ein PE-Router ein OSPF-Peer von CE-Routern ist, die sich in verschiedenen VPNs befinden, muss der PE natürlich mehrere Instanzen von OSPF ausführen.

    IPv4-Routen, die der PE über OSPF vom CE lernt, werden als VPN-IPv4-Routen in BGP weiterverteilt. Extended Community (Erweiterte Community)-Attribute werden verwendet, um alle erforderlichen Informationen mit der Route zu transportieren, damit die Route an andere CE-Router im VPN im richtigen Typ von OSPF Link State Advertisement (LSA) verteilt werden kann. OSPF-Routen-Tagging wird verwendet, um sicherzustellen, dass Routen, die vom MPLS/BGP-Backbone empfangen werden, nicht wieder in das Backbone zurückgesendet werden.

    Die Spezifikation des vollständigen Satzes von Verfahren für die Verwendung von OSPF zwischen PE und CE findet sich in [VPN-OSPF] und [OSPF-2547-DNBIT].

  4. PE- und CE-Router können BGP-Peers sein, und der CE-Router kann BGP (insbesondere EBGP) verwenden, um dem PE-Router den Satz von Adresspräfixen mitzuteilen, die sich am Standort des CE-Routers befinden. (Diese Technik kann in Stub-VPNs oder Transit-VPNs verwendet werden.)

    Diese Technik hat gegenüber den anderen eine Reihe von Vorteilen:

    a) Im Gegensatz zu den IGP-Alternativen erfordert dies nicht, dass der PE mehrere Routing-Algorithmus-Instanzen ausführt, um mit mehreren CEs zu sprechen.

    b) BGP ist explizit für genau diese Funktion konzipiert: Routing-Informationen zwischen Systemen zu übergeben, die von verschiedenen Verwaltungen betrieben werden.

    c) Wenn ein Standort "BGP Backdoors" enthält, d. h. Router mit BGP-Verbindungen zu anderen Routern als PE-Routern, wird dieses Verfahren unter allen Umständen korrekt funktionieren. Die anderen Verfahren können abhängig von den genauen Umständen funktionieren oder nicht.

    d) Die Verwendung von BGP macht es dem CE leicht, Attribute der Routen an den PE zu übergeben. Die vollständige Spezifikation des Satzes von Attributen und ihrer Verwendung liegt außerhalb des Geltungsbereichs dieses Dokuments. Ein paar Beispiele dafür, wie dies verwendet werden könnte, sind jedoch:

    -   Der CE kann für jede Route ein bestimmtes Route Target vorschlagen, das aus denjenigen ausgewählt werden muss, die der PE an diese Route anhängen darf. Der PE würde dann nur das vorgeschlagene Route Target anhängen, nicht den vollständigen Satz. Dies gibt dem CE-Administrator eine gewisse dynamische Kontrolle über die Verteilung von Routen vom CE.

    -   Weitere Arten von Extended Community-Attributen können definiert werden, mit der Absicht, diese Attribute transparent (d. h. ohne Änderung durch die PE-Router) von CE zu CE weiterzugeben. Dies würde es dem CE-Administrator ermöglichen, zusätzliche Routenfilterung zu implementieren, die über das hinausgeht, was der PE tut. Diese zusätzliche Filterung erfordert keine Koordination mit dem SP.

    Andererseits mag die Verwendung von BGP für CE-Administratoren neu sein.

    Wenn sich ein Standort nicht in einem Transit-VPN befindet, beachten Sie, dass er keine eindeutige Autonomous System Number (Autonomes Systemnummer, ASN) haben muss. Jeder CE, dessen Standort sich nicht in einem Transit-VPN befindet, kann dieselbe ASN verwenden. Diese kann aus dem privaten ASN-Raum ausgewählt werden und wird vom PE entfernt. Routing-Schleifen werden durch die Verwendung des Site of Origin-Attributs verhindert (siehe unten).

    Was ist, wenn eine Menge von Standorten ein Transit-VPN bildet? Dies tritt in der Regel nur auf, wenn das VPN selbst das Netzwerk eines Internet Service Providers (ISP) ist und der ISP selbst Backbone-Dienste von einem anderen SP bezieht. Dieser letztere SP kann als "Carrier's Carrier" (Träger des Trägers) bezeichnet werden. In diesem Fall ist der beste Weg, das VPN bereitzustellen, die Unterstützung von MPLS durch die CE-Router zu ermöglichen und die in Abschnitt 9 beschriebene Technik zu verwenden.

Wenn wir nicht zwischen den verschiedenen Möglichkeiten unterscheiden müssen, wie der PE über die an einem bestimmten Standort vorhandenen Adresspräfixe informiert werden kann, sagen wir einfach, dass der PE die Routen von diesem Standort "lernt". Dies schließt den Fall ein, dass der PE manuell mit den Routen konfiguriert wurde.

Bevor ein PE eine von einem Standort gelernte VPN-IPv4-Route weiterverteilen kann, muss er der Route ein Route Target-Attribut (siehe Abschnitt 4.3.1) zuweisen und kann der Route ein Site of Origin-Attribut zuweisen.

Das Site of Origin-Attribut wird, falls verwendet, als eine Route Origin Extended Community [BGP-EXTCOMM] codiert. Der Zweck dieses Attributs besteht darin, den Satz von Routen, die von einem bestimmten Standort gelernt wurden, eindeutig zu identifizieren. Dieses Attribut wird in einigen Fällen benötigt, um sicherzustellen, dass eine Route, die von einem bestimmten Standort über eine bestimmte PE/CE-Verbindung gelernt wurde, nicht über eine andere PE/CE-Verbindung an diesen Standort zurückverteilt wird. Es ist besonders nützlich, wenn BGP als PE/CE-Protokoll verwendet wird, unterschiedlichen Standorten jedoch keine unterschiedlichen ASNs zugewiesen wurden.

Letztes Update am